Что такое социальная инженерия?
Социальная инженерия - это использование человеческих слабостей для получения доступа к личной информации и защищенным системам. Социальная инженерия опирается на манипулирование людьми, а не на взлом компьютерных систем для проникновения в аккаунт цели.
Понимание социальной инженерии
Например, женщина может позвонить в банк жертвы и притвориться его женой, требующей срочной помощи и запрашивающей доступ к его учетной записи. Если женщина может успешно разработать социальный проект представителя по обслуживанию клиентов банка, обратившись к склонности представителя к эмпатии, ей удастся получить доступ к счету мужчины и украсть его деньги. Аналогично, злоумышленник может связаться с отделом обслуживания клиентов почтового провайдера, чтобы получить сброс пароля, который позволяет злоумышленнику контролировать учетную запись электронной почты цели, а не взламывать ее.
Социальная инженерия относится к манипуляции с целью, чтобы они отказались от ключевой информации. Помимо кражи личности или взлома кредитной карты или банковского счета, социальная инженерия может применяться для получения коммерческой тайны компании или использования национальной безопасности.
Социальная инженерия трудно предотвратить потенциальными целями. Используются меры предосторожности, такие как использование надежных паролей и двухфакторная проверка подлинности для учетных записей, но учетные записи все еще могут быть скомпрометированы третьими сторонами, имеющими доступ к своим учетным записям, например, сотрудниками банка. Тем не менее, люди могут уменьшить свой риск, избегая разглашения конфиденциальной информации, проявляя осторожность при обмене информацией в социальных сетях, не повторяя пароли, используя двухфакторную аутентификацию, используя поддельные или трудно угадываемые ответы на вопросы безопасности учетной записи и сохраняя закрыть глаза на счета, особенно финансовые счета.
Злоумышленники часто используют удивительно простую тактику в схемах социальной инженерии, например, обращаясь к людям за помощью. Другая тактика заключается в использовании жертв стихийных бедствий, когда они просят предоставить личную информацию, такую как девичьи имена, адреса, даты рождения и номера социального страхования для пропавших или умерших близких, - информацию, которая впоследствии может быть использована для кражи личных данных.
Выступая в роли специалиста службы технической поддержки или сотрудника службы доставки, вы можете легко получить несанкционированный доступ к учетной записи, а также отправить по-видимому законное электронное письмо с вредоносным вложением. Такие электронные письма часто отправляются на рабочий электронный адрес, где люди с меньшей вероятностью будут подозревать неизвестного отправителя.
Письма можно замаскировать так, чтобы они выглядели так, как если бы они исходили от известного отправителя, когда они фактически были отправлены хакером. Более сложная тактика, ориентированная на конкретных людей, может включать изучение их интересов, а затем отправку целевой ссылке, связанной с этими интересами. Ссылка может содержать вредоносный код, который может украсть личную информацию со своих компьютеров. К популярным методам социальной инженерии относятся фишинг, ловля кошек, удары хвостом и травля.
